Come ogni mattina mi son letto Punto-informatico e oggi mi ha colpito l’articolo su Privacy, gli obblighi degli Amministratori di Sistema.
In pratica, il caro Garante della Privacy ha pensato bene di regolamentare la gestione dei log d’accesso ai server e apparati di rete e “conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili” … “ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo” (6 mesi).
La provvedimento è stata pubblicato sulla Gazzetta Ufficiale n.300 il 24 Dicembre 2008
1) non si capisce cosa bisogna loggare, se solo gli accessi o anche le operazioni fatte
2) i log di testo sono alterabili quindi, anche se su hard disk, devono essere criptati e firmati elettronicamente.
(non posso tenere i log su hd e poi masterizzarli e ovviamente non posso scrivere una riga di log alla volta su cd)
3) mi dovrò fare un log server dedicato con sw a pagamento e far riferimento ad una CA (io non posso farmi una CA ovviamente perchè poi posso alterare i certificati)
4) se dall’esterno mi fanno una sql injection alterandomi i dati su db (e senza quindi venir loggati sull’access log) mentre io sto controllando lo spazio libero sui dischi, in caso di truffa chi diventa il colpevole ? Io che risulto “certificato” come l’unico ad aver acceduto a quella macchina ?
5) visto che vogliono dirci come dobbiamo fare il nostro lavoro… non sono a conoscenza di una norma che mi obblighi a tenere gli orologi di computer e apparati di rete sincronizzati tra loro e con qualche orologio atomico quindi ora mi registrerò una settimana di log e poi copierò questi log per 6 mesi, tanto il mio lavoro è molto ripetitivo e visto il punto nr. 4 comunque se vogliono incolparmi possono farlo.
Altre considerazioni ?
